Es gibt inzwischen viele statische Analysetools, auch kostenlose, die Security-Findings für die eigene Code-Basis erzeugen. Diese potentiellen Sicherheitslücken werden jedoch sehr unterschiedlich wahrgenommen: Aus Entwickler-Perspektive ist es oft frustrierend, wie hoch der Anteil an False Positives (also Fehlalarmen) ist. Daher sehen wir in vielen Projekten, dass die Findings ignoriert oder im Analysetool abgeschaltet werden. Aus Management-Perspektive werden solche Findings jedoch oft als kritisch bewertet. Einerseits, weil einige davon tatsächliche Angriffe ermöglichen. Andererseits, weil solche Findings bei einem (vorgeschriebenen) Security-Audit oft selbst dann aufschlagen, wenn es sich um False-Positives handelt. Allerdings sind diese Findings dem Management oft bis zu einem konkreten Audit unbekannt. In Kombination führen diese beiden Perspektiven dazu, dass die Findings ignoriert werden, bis es knallt. Das ist nicht nur schmerzhaft für alle Beteiligten, sondern auch unnötig teuer, da die späte Behebung von Findings viel teurer ist, als ihre frühe Vermeidung. Im Vortrag fassen wir 10 Jahre Erfahrung aus der Analyse von vielen Systemen in unterschiedlichsten Branchen zusammen. Dabei geben wir einen Überblick, welche Security-Probleme wir typischerweise finden und durch welche Analyseansätze sie aufgedeckt werden können. Außerdem präsentieren wir ein Vorgehen zum kontinuierlichen Monitoring und Abbau von Schwachstellen, das sich bei verschiedenen Teams bewährt hat.

Folien

Folien herunterladen